Il rollover del certificato di HMA EvoSTS causa l'esecuzione di richieste di autenticazione a causa di una chiave in stallo nel processo di lavoro spawn (fase di riscaldamento) in Exchange Server 2019 e 2016

Sintomi

I certificati EvoSTS sono gestiti da Azure Active Directory (Azure AD) e regolarmente aggiornati individualmente per ogni tenant, il che accade più di frequente per alcuni utenti. Il rollover dei certificati o la relativa pianificazione non è trasparente per l'utente. Viene fuori che un tale rollover crea interruzioni dei servizi per gli utenti che utilizzano l'autenticazione moderna ibrida (HMA). Il problema si verifica quando un processo di lavoro viene avviato o riciclato o quando un computer viene ricondotto dalla manutenzione e il materiale chiave divergente è presente in Active Directory. Dopo l'inizializzazione di qualsiasi processo di lavoro, la prima richiesta contenente i dati di autenticazione del portatore caricherà le librerie OAuth e avvierà il materiale chiave leggendo le informazioni dall'oggetto AuthServer in Active Directory. In seguito, il processo di lavoro può autenticare la richiesta contenente i dati di autenticazione del portatore. Tuttavia, se il materiale chiave in Azure AD (EvoSTS) è stato eseguito il rollback, non può autenticare tali richieste a causa della sicurezza dei messaggi non valida (il materiale della chiave non corrisponde) mentre la firma si diverge. Dopo un intervallo casuale (timer max 30 minuti), il processo di lavoro cercherà e recupererà il materiale chiave online tramite l'endpoint dei metadati pubblicati.

Se vengono trovate chiavi nuove o divergenti, queste verranno aggiunte e caricate nel processo (istanza) per la durata del processo di lavoro e l'autenticazione funzionerà da ora in poi. Dato che i nuovi dati chiave non vengono mai riscritti in Active Directory, la stessa iterazione viene riavviata per qualsiasi processo di lavoro che genera una nuova istanza.

Risoluzione

Per risolvere il problema, installare uno degli aggiornamenti seguenti:

Per Exchange Server 2019, installare l'  aggiornamento cumulativo 6 per exchange server 2019 o un aggiornamento cumulativo successivo per Exchange Server 2019.

Per Exchange Server 2016, installare l'   aggiornamento cumulativo 17 per exchange server 2016o un aggiornamento cumulativo successivo per Exchange Server 2016. 

Riferimenti

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×